JP2007295366A - 暗号化メッセージ送受信方法、送信者装置、受信者装置、鍵サーバ、および暗号化メッセージ送受信システム - Google Patents

暗号化メッセージ送受信方法、送信者装置、受信者装置、鍵サーバ、および暗号化メッセージ送受信システム Download PDF

Info

Publication number
JP2007295366A
JP2007295366A JP2006122076A JP2006122076A JP2007295366A JP 2007295366 A JP2007295366 A JP 2007295366A JP 2006122076 A JP2006122076 A JP 2006122076A JP 2006122076 A JP2006122076 A JP 2006122076A JP 2007295366 A JP2007295366 A JP 2007295366A
Authority
JP
Japan
Prior art keywords
key
sender
receiver
recipient
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006122076A
Other languages
English (en)
Other versions
JP4781896B2 (ja
Inventor
Yukio Tsuruoka
行雄 鶴岡
Shingo Orihara
慎吾 折原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006122076A priority Critical patent/JP4781896B2/ja
Publication of JP2007295366A publication Critical patent/JP2007295366A/ja
Application granted granted Critical
Publication of JP4781896B2 publication Critical patent/JP4781896B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】受信者の事前設定が必要無く、かつ送受信者間の継続するメッセージについて鍵サーバによる暗号文の復号ができないようにする。
【解決手段】送信者装置1は送受信者間の初期鍵と送信者の公開鍵から送受信者間の一時的な共有秘密鍵を計算し、これを用いて送信メッセージを暗号化し、送信者の公開鍵とともに受信者装置2に送信する。鍵サーバ3が受信者装置2の認証に成功した場合、初期鍵が受信者装置2に送信され、受信者装置2が初期鍵と送信者の秘密鍵から一時的な共有秘密鍵を計算し、メッセージを復号する。受信者装置2は送信者の公開鍵と受信者の秘密鍵から共有秘密鍵を計算し、受信者の公開鍵を送信者装置1に送信する。送信者装置1は、受信者の公開鍵と送信者の秘密鍵から同一の共有秘密鍵を計算する。送信者装置1と受信者装置2は継続して送受信するメッセージを、共有秘密鍵を用いて暗号化および復号する。
【選択図】図1

Description

本発明は電子メールを暗号化して送信する方法および装置に関する。
従来より電子メールの暗号化方法が提案されている。例えばS/MIME(Secure Multi−purpose Internet Mail Extension:RFC3850,3851)では、事前設定として、受信者はあらかじめ秘密鍵と公開鍵の対を生成し、認証局は生成した公開鍵に対応する公開鍵証明書を発行、公開する。送信者は受信者の公開鍵証明書を取得し、公開鍵証明書に含まれる受信者の公開鍵を用いてメッセージを暗号化した上で、受信者に送信する。受信者は受信した暗号文を自身の秘密鍵を用いて復号する。
公開鍵証明書の準備といった受信者の事前設定無しに暗号化メールを送信する手法として、非特許文献1に記述されたIdentity Based Encryption(以下IBEと略す)がある。IBEでは、送信者は、既知となっている受信者の識別子(メールアドレスなど)から暗号化の鍵を生成するため、受信者側での鍵生成や公開鍵証明書の送信者への通知を事前に行うことなく暗号メールを送信することができる。すなわち、以下のような方法でメールの暗号化を行う。IBEでは送信者、受信者の他に鍵サーバが存在する。鍵サーバは秘密パラメータと公開パラメータを生成し、公開パラメータを公開する。送信者は、受信者の識別子と公開パラメータから鍵を生成し、その鍵を用いてメッセージを暗号化した上で、受信者に送信する。暗号文を受け取った受信者は鍵サーバに受信者の秘密鍵を要求し、鍵サーバは秘密パラメータと受信者の識別子から受信者の秘密鍵を計算して、受信者に送信する。受信者は、鍵サーバから受け取った受信者の秘密鍵と公開パラメータから鍵を生成し、その鍵を用いて暗号文を復号する。
D. Boneh and M. Franklin, "Identity based encryption from the Weil pairing," SIAM J. of Computing, Vol.32,No.3,pp.586-615, 2003.
非特許文献1に記載されたIBEでは、メッセージの送受信により送信者と受信者間で秘密鍵を共有できる。このため、返信メッセージ等、最初のメッセージ以降に送受信者間でやり取りする継続するメッセージについても共有した秘密鍵を用いて暗号化が可能である。しかしながら、共有秘密鍵を計算するための受信者の秘密鍵は鍵サーバが生成しているため、鍵サーバは受信者同様に送受信者間の共有秘密鍵を計算できることになり、よって送受信者間の通信内容の傍受によりメッセージの復号が可能となり、鍵サーバの管理者による盗聴や情報漏洩の恐れがあるという問題があった。
本発明の目的は、IBE同様に受信者の事前設定が必要無く、かつ送受信者間の継続するメッセージについて鍵サーバによる暗号文の復号ができない、使いやすくより安全な暗号化メッセージ送受信方法、送信者装置、受信者装置、鍵サーバ、および暗号化メッセージ送受信システムを提供することにある。
上記目的を達成するために、本発明の暗号化メッセージ送受信方法は、
鍵サーバが、送信者の識別子、受信者の識別子、および初期鍵を関連付けて記憶するステップと、
送信者装置が、送信者の公開鍵と秘密鍵からなる鍵ペアを生成するステップと、
送信者装置が、前記初期鍵に基づき一時的な共有秘密鍵を計算するステップと、
送信者装置が、前記共有秘密鍵を用いてメッセージを暗号化し、暗号文を計算するステップと、
送信者装置が、前記暗号文、前記送信者の公開鍵を受信者装置に送信するステップと、
前記暗号文、前記送信者の公開鍵を受信した受信者装置が、送信者の識別子、受信者の識別子を鍵サーバに送信するステップと、
鍵サーバが、初期鍵を受信者装置に送信するステップと、
受信者装置が、鍵サーバから受信した初期鍵に基づき前記一時的な共有秘密鍵を計算するステップと、
受信者装置が、前記共有秘密鍵を用いて、送信者装置から受信した前記暗号文を復号してメッセージを計算するステップと
受信者装置が、受信者の公開鍵と秘密鍵からなる鍵ペアを生成するステップと
受信者装置が、前記受信者の秘密鍵と前記送信者の公開鍵から共有秘密鍵を計算するステップと、
受信者装置が、前記受信者の公開鍵を送信者装置へ送信するステップと、
前記受信者の公開鍵を受信者装置から受信した送信者装置が、受信者の公開鍵と送信者の秘密鍵から共有秘密鍵を計算するステップと、
を有する。
送信者装置は送受信者間の初期鍵と送信者の公開鍵から送受信者間の一時的な共有秘密鍵を計算し、これを用いて送信メッセージを暗号化し、送信者の公開鍵とともに受信者装置に送信する。鍵サーバが受信者装置を認証するなど受信者装置の正当性を保証できる場合、初期鍵が受信者装置に送信され、受信者装置が初期鍵と送信者の秘密鍵から一時的な共有秘密鍵を計算し、メッセージを復号する。受信者装置は送信者の公開鍵と受信者の秘密鍵から共有秘密鍵を計算し、受信者の公開鍵を送信者装置に送信する。送信者装置は、受信者の公開鍵と送信者の秘密鍵から同一の共有秘密鍵を計算する。送信者装置と受信者装置は継続して送受信するメッセージを、共有秘密鍵を用いて暗号化および復号する。
本発明によれば、受信者の事前設定無しに暗号メールを送信できるため、送信者は受信者の環境を考慮することなく、またこれまでメールをやり取りしたことが無い受信者に対しても暗号メールを送信することができる。また、返信メッセージ等、送信者から受信者へ送信される最初のメッセージ以降に送受信者間でやり取りするメッセージについて、鍵サーバによる復号ができないため、情報漏洩等の心配が無く安心してメッセージの送受信が可能となる。
また、本発明では、最初のメッセージを暗号化する鍵と、以降継続する複数のメッセージを暗号化する鍵が異なっている。特に継続するメッセージを暗号化する鍵は、鍵サーバは知りえないので、最初のメッセージよりも安全性がより高まっている。
また、IBEでは受信者装置が鍵サーバから通知される鍵は、相手を限定しない受信者の秘密鍵であり、その鍵が漏洩した場合、受信者とその相手全てとの通信が復号できてしまう。一方、本発明においては受信者装置が鍵サーバから受け取る鍵は特定の送受信者間に限定した鍵であり、その鍵がもし漏洩したとしても、影響は特定の相手との通信に限られる。すなわち、システム全体の安全性について、鍵サーバへの依存度がより少ないため、より安全である。また、鍵の管理を簡易化できるので鍵サーバの運用コストの削減にも有効である。
次に、本発明の実施の形態について図面を参照して説明する。
図1を参照すると、本発明の一実施形態による電子メールシステムは、送信者装置1と受信者装置2と鍵サーバ3と通信網4で構成され、送信者装置1と受信者装置2と鍵サーバ3は通信網4を介して互いに通信可能となっている。通信網4はたとえばインターネットや企業内網などである。送信者装置1および受信者装置2は携帯電話、PDA(Personal Digital Assistants)、パーソナルコンピュータなどである。
送信者装置1は、図2に示すように、ネットワークインターフェイス11とユーザインターフェイス12と記憶部13と制御部14で構成される。ネットワークインターフェイス11は、受信者装置2や鍵サーバ3等の外部の機器との間の通信を行う。ユーザインターフェイス12は、ユーザとの間の入出力を行うディスプレイ、キーボード、マウス等のポインティングデバイス等である。記憶部13はメールの処理を行うメーラープログラム13Aと、メールの暗号化・復号を行う暗号化・復号プログラム13Bと、暗号化・復号に用いる鍵を格納する鍵情報データベース13Cとで構成される。制御部14は、上述のネットワークインターフェイス11、ユーザインターフェイス12、および記憶部13等、制御部14以外の構成要素を制御し、送信者装置1に暗号化メールの送受信に必要な動作を行わせるものである。
受信者装置2は、図3に示すように、ネットワークインターフェイス21と、ユーザインターフェイス22と、記憶部23と、制御部24で構成される。受信者装置2の構成は図2の送信者装置1と概ね同様の構成であるが、記憶部23が認証情報23Dをさらに含む点が送信者装置1と異なる。認証情報23Dは、送信者から受信したメッセージの復号に必要な鍵情報を鍵サーバ3から発行してもらうため、受信者装置2が鍵サーバ3に対して行う認証に必要な情報である。
鍵サーバ3は、図4に示すように、ネットワークインターフェイス31と、鍵生成部32と、認証部33と、記憶部34と、制御部35で構成される。ネットワークインターフェイス31は、送信者装置1や受信者装置2等の外部の機器との間の通信を行う。鍵生成部32は、送受信者間の最初のメッセージの暗号化に用いる鍵K1を生成する。認証部33は、受信者にメッセージの復号に必要な鍵K1を通知するために必要な、受信者の認証を行う。鍵記憶部34は、鍵情報データベース34Aと認証情報データベース34Bを含んでいる。鍵情報データベース34Aは、送受信者間での暗号化・復号に必要な鍵K1を、対となる送受信者ごとに記憶する。認証情報データベース34Bは認証部33により受信者装置2を認証するために必要な情報を記憶する。制御部35は、上述のネットワークインターフェイス31、鍵生成部32、認証部33、および記憶部34等、制御部35以外の構成要素を制御し、鍵サーバ3に初期鍵の生成、管理、および送信を行わせるものである。
以下、本実施形態の動作手順について、送信者装置1を持つ送信者Aが受信者装置2を持つ受信者Bにメッセージを暗号化して送信し、その返信を受信者装置2から送信者装置1に暗号化して送信する場合を例にとり、図5と図6に従って説明する。
送信者装置1は記憶部13からメーラープログラム13Aを起動し、ユーザインターフェイス12を介して送信者Aから受信者Bに送信するメッセージM1を入力する(ステップ101)。送信者装置1の制御部14は送信者Aの識別子IDAと受信者Bの識別子IDBをネットワークインターフェイス11により通信網4を介して鍵サーバ3に送信し、A−B間の初期鍵K1A,Bを要求する(ステップ102)。ここで、識別子IDA,IDBは例えば送信者A,受信者Bのメールアドレスである。
ネットワークインターフェイス31により識別子IDA,IDBを受信した鍵サーバ3は、鍵生成部32で初期鍵K1A,Bを生成し(ステップ103)、受信したIDA,IDBと共に鍵情報データベース34Aに格納する(ステップ104)。初期鍵K1A,Bの生成法として、たとえば乱数を用いる方法などがある。鍵情報データベース34Aは表1に示すように、送信者の識別子IDA、受信者の識別子IDB、および該送信者と受信者間の初期鍵K1A,Bを対応付けて格納する。
Figure 2007295366
 さらに、鍵サーバ3の鍵生成部32は、生成した初期鍵K1A,Bをネットワークインターフェイス31により送信者装置1に送信する(ステップ105)。
ネットワークインターフェイス11により初期鍵K1A,Bを受信した送信者装置1の制御部14は、秘密鍵となる整数KSA=XAを生成し、受信者Bの識別子IDBと共に鍵情報データベース13C(表2)に格納する(ステップ106)。
Figure 2007295366
 さらに、送信者装置1の制御部14は、秘密鍵KSAを用いて公開鍵KPA=XA・Gを計算する(ステップ107)。ここで、Gは楕円曲線E上の点で、EおよびGは公開されているものとする。また、XA・Gは、点GのXA倍の点を表すものとする。送信者装置1の制御部14は、初期鍵K1A,Bと公開鍵KPAから、送信者Aと受信者B間の一時的な共有秘密鍵K2A,B=f(K1A,B、KPA)を計算する(ステップ108)。ここで、f(・)は公開された関数であり、例えば二つの引数の排他的論理和や一方向性ハッシュ関数などでもよい。送信者装置1の制御部14は、一時的な共有秘密鍵K2A,B、および記憶部13から読み出した暗号化・復号プログラム13Bを用いてメッセージM1を暗号化し、暗号文C1=E(K2A,B,M1)を得る(ステップ109)。ここで、E(・,・)は第1引数を鍵、第2引数を平文とした共通鍵暗号による暗号化を、またD(・,・)は第1引数を鍵、第2引数を暗号文とした共通鍵暗号による復号を、それぞれ表す関数とする。送信者装置1の制御部14はネットワークインターフェイス11を用いて、暗号文C1、送信者Aの識別子IDA、公開鍵KPAを受信者装置2に送信する(ステップ110)。
ネットワークインターフェイス21により、前記暗号文C1、送信者Aの識別子IDA、公開鍵KPAを受信した受信者装置2の制御部24は、IDAとKPAを対応付けて記憶部23の鍵情報データベース23C(表3)に保存する(ステップ111)。
Figure 2007295366
 受信者装置2の制御部24は、記憶部23の認証情報23Dを読み出し、この認証情報を送信者Aの識別子IDA、受信者Bの識別子IDBと共に、ネットワークインターフェイス21により鍵サーバ3に送信し、A−B間の初期鍵K1A,Bを要求する(ステップ112)。なお、認証情報を直接送信せずに、認証情報から生成される情報を送信してもよい。
初期鍵の要求を受信した鍵サーバ3の認証部33は、受信した認証情報、識別子IDB、さらに記憶部34の認証情報データベース34Bに格納された情報を用いて、受信者装置2の認証を行う(ステップ113)。この認証には、例えばIDとパスワードを用いた手法、ワンタイムパスワードを用いた手法などがあるが、これに限られず、いかなる認証方法を用いてもよい。受信者装置2の認証に成功した場合、鍵サーバ3の認証部33は、送信者Aの識別子IDA、受信者Bの識別子IDBを元にA−B間の初期鍵K1A,Bを記憶部34の鍵情報データベース34Aから読み出し(ステップ114)、ネットワークインターフェイス31により受信者装置2に送信する(ステップ115)。
初期鍵K1A,Bを受信した受信者装置2の制御部24は、送信者装置1におけるステップ108と同様に、A−B間の初期鍵K1A,Bと公開鍵KPAから、送信者Aと受信者B間の一時的な共有秘密鍵K2A,B=f(K1A,B、KPA)を計算する(ステップ116)。受信者装置2の制御部24は、計算された共有秘密鍵K2A,B、暗号文C1、および記憶部23から読み出された暗号化・復号プログラム23Bを用いてメッセージM1=D(K2A,B,C1)を計算(復号)して(ステップ117)、復号したメッセージM1を、記憶部23から読み出されたメーラープログラム23Aやユーザインターフェイス22を用いてディスプレイ(不図示)に表示する(ステップ118)。受信者装置2の制御部24は、送信者装置1におけるステップ106と同様に、秘密鍵となる整数KSB=XBを生成し(ステップ119)、さらに生成した秘密鍵KSBと送信者装置1から受信した公開鍵KPAから、A−B間の共有秘密鍵K3A,B=KSB・KPA=XB・(XA・G)を計算し(ステップ120)、それらKSBとK3A,Bを、鍵情報データベース23Cの中の、相手識別子としてIDAが含まれるエントリーに格納する(表4)。
Figure 2007295366
 また、受信者装置2の制御部24は、秘密鍵KSBを用いて公開鍵KPB=XB・Gを計算し(ステップ121)、受信者Bの識別子IDBと共に、ネットワークインターフェイス21を用いて送信者装置1に送信する(ステップ122)。ステップ122の送受信はメーラープログラム23A、13Aにより自動的に行うが、この操作を受信者Bや送信者Aが手動で行ってもよい。
ネットワークインターフェイス11により受信者Bの識別子IDBと公開鍵KPBを受信した送信者装置1の制御部14は、受信した受信者の識別子IDBをキーにして鍵情報データベース13Cのエントリーを検索し、該当するエントリーから自身が生成した秘密鍵KSAを読み出して、このKSAと、受信者装置2から受信した公開鍵KPBとから、A−B間の共有秘密鍵K3A,B=KSA・KPB=XA・(XB・G)を計算し、鍵情報データベース13Cの中の、相手識別子IDBが含まれるエントリーに格納する(ステップ123)。また、このとき該当するエントリーのステータス情報を「鍵共有済み」に変更する。ここで、ステップ120およびステップ123で計算したK3A,Bの値は同じとなるため、送信者装置1と受信者装置2との間で秘密鍵K3A,Bを共有できる。また、公開情報である楕円曲線上の点G、公開鍵KPB=XB・G、公開鍵KPA=XA・Gなどから秘密鍵XAやXBを計算するのは困難であることが知られており、したがって、第三者が秘密鍵K3A,Bを計算することは困難になっている。これらの原理については、楕円曲線上のDiffie−Hellmanプロトコル(ECDH)としてよく知られているため、詳細な説明を省略する。送信者装置1は共有秘密鍵K3A,Bを計算後に、確認情報と、送信者Aの識別子IDAを受信者装置2に送信する(ステップ124)。この確認情報は例えば、正しく復号されたことを確認できるような情報をK3A,Bで暗号化したものである。
確認情報と、送信者Aの識別子IDAを受信した受信者装置2の制御部24は、認証情報を確認(たとえばK3A,Bで復号するなど)し、鍵情報データベース23Cの、相手識別子がIDAであるエントリーのステータス情報を「鍵共有済み」に変更する。
以降、送信者装置1と受信者装置2の間では、共有秘密鍵K3A,Bを用いて暗号通信が可能である。たとえば、引き続いて受信者装置2から送信者装置1に、メッセージM1に対する返信メッセージM2を暗号化して送信する場合は以下の手順となる。
受信者装置2は、記憶部23のメーラープログラム23Aおよびユーザインターフェイス22により、返信メッセージM2を入力する(ステップ125)。次に、受信者装置2の制御部24は、共有秘密鍵K3A,Bと暗号化・復号プログラム23Bを用いて、返信メッセージM2に対する暗号文C2=E(K3A,B,M2)を計算し(ステップ126)、受信者Bの識別子IDBと共に送信者装置1に送信する(ステップ127)。
IDBと暗号文C2を受信した送信者装置1は、IDBをキーにして鍵情報データベース13Cからエントリーを検索し、そのエントリー中の共有秘密鍵K3A,B、暗号文C2、および記憶部13から読み出された暗号化・復号プログラム13Bを用いてメッセージM2=D(K3A,B,C2)を計算(復号)して(ステップ128)、メーラープログラム13Aやユーザインターフェイス12を用いて返信メッセージM2を送信者Aに表示する(ステップ129)。
このように、共有秘密鍵K3A,Bを、A−B間で引き続いて行われる暗号通信に用いることができる(ステップ130)。
なお、この例ではステップ125以降、受信者Bから送信者Aにメッセージを返信する場合について説明したが、送信者Aから受信者Bに新たなメッセージを送信する場合も同様である。
以下では、図7を参照して前記実施形態の変形例の手順について説明する。この例では、前記実施形態において受信者装置2から送信者装置1へ公開鍵KPBを送信するステップ122と、暗号文C2を送信するステップ127を同時に行うものである。前記実施形態と同一の処理には同一の番号を付与しその説明を省略する。前記実施形態の変形例の手順は、ステップ121までは前記実施形態と同様である。その後受信者装置2において、返信メッセージM2の入力(ステップ125)、M2に対する暗号文C2の計算(ステップ126)を実行し、公開鍵KPBと暗号文C2を送信者端末1に送信する(ステップ131)。送信者装置1は、共有秘密鍵K3A,Bを計算し(ステップ123)、鍵共有の確認メッセージを受信者装置2に送信する(ステップ124)。なお、ステップ124は省略可能である。さらに、送信者装置1は、暗号文C2から返信メッセージM2を復号し(ステップ128)、送信者Aに表示する(ステップ129)。
なお、上記の実施形態では鍵サーバ3が乱数により初期鍵K1A,Bを生成するが、この代わりとして、送信者の識別子や受信者の識別子に対して、鍵つきハッシュ関数を適用するなど、鍵導出関数を適用して得られる値を用いてもよい。この場合、鍵サーバ3は送受信者の識別子から初期鍵K1A,Bを再計算できるので、初期鍵の鍵情報データベース34Aへの格納は省略してもよい。
また、上記の実施形態では鍵サーバ3が初期鍵K1A,Bを生成するが、この代わりとして、送信者装置1が初期鍵を生成して、鍵サーバ3に送信してもよい。
また、上記の実施形態はECDHプロトコルにおける公開鍵を相互に交換することで送受信者間で鍵共有を行うものであるが、この代わりに、公開鍵証明書を相互に交換することで、送信者から受信者へ、またその逆方向の通信について、それぞれの証明書に含まれる公開鍵を用いてメッセージを暗号化することも可能である。
また、受信者装置2の記憶部23に格納される暗号化・復号プログラム23Bは、受信者装置2が鍵サーバ3から初期鍵K1A,Bを取得する際に、必要に応じてダウンロードしてもよい。この場合は事前の暗号化・復号プログラム23Bの取得・設定は不要である。
また、送信者装置1や受信者装置2が、鍵サーバ3と通信する際は、必要に応じて認証、暗号化をするものとする。ただし、鍵サーバ3が受信者Bの宛先(メールアドレス等)を知っている場合、以下の手法をもって認証に代えてもよい。即ち、前記受信者装置2から送信者Aの識別子IDAと受信者Bの識別子IDBを受信した鍵サーバ3が、受信者Bの識別子IDBから一意に定まる受信者Bの宛先を得て、この宛先へ前記初期鍵K1A,Bを送信することで受信者Bの正当性を保証するものである。また、鍵サーバ3は受信者Bの識別子IDBと受信者Bの宛先との対応を記憶部34の認証情報データベース34B等に予め記憶しておいてもよい。
また、上記の実施形態においては、送受信者の組ごとに、送受信者それぞれが秘密鍵を設定するものになっている。この代わりに、送信者、受信者はそれぞれ一組の鍵ペアを生成し、それを複数の相手に対して使うこともできる。この場合には、ステップ108のように送信者Aと受信者B間の一時的な共有秘密鍵をK2A,B=f(K1A,B、KPA)と計算すると、KPAが使いまわされることになり安全性が低下する。このためには、送信者装置1で第2の初期鍵K0A,Bを一時的に生成し、K2A,B=f(K1A,B、K0A,B)と計算することで、安全性の低下を防ぐことができる。この場合には、ステップ110において、送信者装置1から受信者装置2にK0A,Bをあわせて送り、ステップ116において、受信者装置2は、送信者Aと受信者B間の一時的な共有秘密鍵をK2A,B=f(K1A,B、K0A,B)のように計算する。
また、送信者装置1、受信者装置2間での暗号化メッセージのやりとりにおいて下記の確認を行ってもよい。すなわち、あるラウンド(例えばラウンドN)でAからBにチャレンジc(例えば乱数)を送り、次のラウンド(ラウンドN+1)で、BからAに、cを鍵Kで暗号化したE(K,c)または復号したD(K,c)をレスポンスとして返し、Aがこの関係を確認することで、A−B間で鍵Kの共有が正しく完了していることが証明できる。
なお、上述の各ステップにおいて依存関係のないステップ間の実行順序は前後入れ替えてもよい。
なお、本発明の実施の形態として電子メールの暗号化を例にとって説明したが、応用としては電子メールに限定するものではなく、たとえばIM(Instant messaging)、チャット、プッシュトゥトーク等の、文字、音声、画像による通信サービスに適用可能である。
なお、以上説明した送信者装置、受信者装置、鍵サーバは、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フレキシブルディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータ内の揮発性メモリのように、一定時間プログラムを保持しているものを含む。
本発明の一実施形態による暗号メールシステムの全体構成図である。 図1中の送信者装置のブロック図である。 図1中の受信者装置のブロック図である。 図1中の鍵サーバのブロック図である。 図1の実施形態の暗号メールシステムの動作手順を示すシーケンス図(その1)である。 図1の実施形態の暗号メールシステムの動作手順を示すシーケンス図(その2)である。 図1の実施形態の変形例の暗号メールシステムの動作手順を示すシーケンス図である。
符号の説明
1 送信者装置
2 受信者装置
3 鍵サーバ
4 通信網
11,21 ネットワークインターフェイス
12,22 ユーザインターフェイス
13,23 記憶部
13A,23A メーラープログラム
13B,23B 暗号化・復号プログラム
13C,23C 鍵情報データベース
23D 認証情報
14,24 制御部
101〜131 ステップ

Claims (15)

  1. メッセージを暗号化して送信し、受信側でこれを復号する方法であって、
    鍵サーバが、送信者の識別子、受信者の識別子、および初期鍵を関連付けて記憶するステップと、
    送信者装置が、前記送信者の公開鍵と秘密鍵からなる鍵ペアを生成するステップと、
    前記送信者装置が、前記初期鍵に基づき一時的な共有秘密鍵を計算するステップと、
    前記送信者装置が、前記共有秘密鍵を用いてメッセージを暗号化し、暗号文を計算するステップと、
    前記送信者装置が、前記暗号文、前記送信者の公開鍵を受信者装置に送信するステップと、
    前記暗号文、前記送信者の公開鍵を受信した前記受信者装置が、送信者の識別子、受信者の識別子を前記鍵サーバに送信するステップと、
    前記鍵サーバが、初期鍵を前記受信者装置に送信するステップと、
    前記受信者装置が、前記鍵サーバから受信した初期鍵に基づき前記一時的な共有秘密鍵を計算するステップと、
    前記受信者装置が、前記共有秘密鍵を用いて、前記送信者装置から受信した前記暗号文を復号してメッセージを計算するステップと
    前記受信者装置が、受信者の公開鍵と秘密鍵からなる鍵ペアを生成するステップと
    前記受信者装置が、前記受信者の秘密鍵と前記送信者の公開鍵から共有秘密鍵を計算するステップと、
    前記受信者装置が、前記受信者の公開鍵を前記送信者装置へ送信するステップと、
    前記受信者の公開鍵を前記受信者装置から受信した前記送信者装置が、前記受信者の公開鍵と前記送信者の秘密鍵から共有秘密鍵を計算するステップと、
    を有するメッセージ暗号化送信受信方法。
  2. 前記送信者装置が、前記初期鍵に基づき一時的な共有秘密鍵を計算するステップは、前記初期鍵と前記送信者の公開鍵から前記一時的な共有秘密鍵を計算することを含み、
    前記受信者装置が、前記鍵サーバから受信した初期鍵に基づき前記一時的な共有秘密鍵を計算するステップは、前記鍵サーバから受信した初期鍵と、前記送信者装置から受信した送信者の公開鍵から前記一時的な共有秘密鍵を計算することを含む、
    請求項1に記載のメッセージ暗号化送信受信方法。
  3. 前記送信者装置が、前記初期鍵に基づき一時的な共有秘密鍵を計算するステップは、前記初期鍵と第2の初期鍵から前記一時的な共有秘密鍵を計算することを含み、
    前記送信者装置が、前記暗号文、前記送信者の公開鍵を受信者装置に送信するステップは、前記第2の初期鍵も加えて送信することを含み、
    前記受信者装置が、前記鍵サーバから受信した初期鍵に基づき前記一時的な共有秘密鍵を計算するステップは、前記鍵サーバから受信した初期鍵と、前記送信者装置から受信した前記第2の初期鍵から前記一時的な共有秘密鍵を計算することを含む、
    請求項1に記載のメッセージ暗号化送信受信方法。
  4. 前記送信者装置と前記受信者装置の間で、前記共有秘密鍵を用いて継続するメッセージを暗号化して送受信するステップをさらに有する、請求項1から3のいずれかに記載のメッセージ暗号化送信受信方法。
  5. 前記受信者装置が、送信者の識別子、受信者の識別子を前記鍵サーバに送信するステップにおいて認証情報をあわせて送信し、
    前記鍵サーバが、初期鍵を前記受信者装置に送信するステップにおいて、前記認証情報に基づいて認証を行い、認証が成功した場合にのみ、前記初期鍵を送信する、
    請求項1から4のいずれかに記載のメッセージ暗号化送信受信方法。
  6. 前記鍵サーバが、初期鍵を前記受信者装置に送信するステップは、前記鍵サーバが前記受信者の識別子から一意に定まる受信者の宛先を得るステップと、前記受信者の宛先へ前記初期鍵を送信するステップとを含む、請求項1から4のいずれかに記載のメッセージ暗号化送信受信方法。
  7. 送受信者の宛先をそれぞれの識別子とする、請求項6に記載のメッセージ暗号化送信受信方法。
  8. メッセージを暗号化して受信者装置に送信する送信者装置であって、
    ネットワークインターフェイスと、
    該送信者装置の送信者の識別子と受信者の識別子を前記ネットワークインターフェイスにより通信網を介して鍵サーバに送信する手段と、
    前記送信者と前記受信者間の初期鍵を得る手段と、
    前記送信者の公開鍵と秘密鍵からなる鍵ペアを生成する手段と、
    前記初期鍵に基づき一時的な共有秘密鍵を計算する手段と、
    前記計算された一時的な共有秘密鍵を用いてメッセージを暗号化し、暗号文を得る手段と、
    前記暗号文と前記送信者の公開鍵を前記ネットワークインターフェイスにより通信網を介して前記受信者装置に送信する手段と、
    前記受信者装置から受信者の公開鍵を前記ネットワークインターフェイスにより通信網を介して受信する手段と、
    前記受信者の公開鍵と前記送信者の秘密鍵から前記送信者と前記受信者間の共有秘密鍵を計算する手段と、
    を有する送信者装置。
  9. 送信者装置から暗号化されたメッセージを受信する受信者装置であって、
    ネットワークインターフェイスと、
    前記送信者装置から暗号文と送信者の公開鍵を前記ネットワークインターフェイスにより通信網を介して受信する手段と、
    鍵サーバに送信者の識別子と受信者の識別子を前記ネットワークインターフェイスにより通信網を介して送信し、前記送信者と前記受信者間の初期鍵を要求する手段と、
    前記鍵サーバから前記初期鍵を前記ネットワークインターフェイスにより通信網を介して受信する手段と、
    前記初期鍵に基づき一時的な共有秘密鍵を計算する手段と、
    前記計算された一時的な共有秘密鍵と前記暗号文から前記メッセージを復号する手段と、
    前記受信者の公開鍵と秘密鍵からなる鍵ペアを生成する手段と、
    前記生成された前記受信者の秘密鍵と前記送信者の公開鍵から前記送信者と前記受信者間の共有秘密鍵を計算する手段と、
    前記送信者装置に、前記生成された前記受信者の公開鍵を前記ネットワークインターフェイスにより通信網を介して送信する手段と、
    を有する受信者装置。
  10. 鍵サーバであって、
    ネットワークインターフェイスと、
    鍵情報データベースを含む記憶部と、
    送信者装置から送信者の識別子と受信者の識別子を前記ネットワークインターフェイスにより通信網を介して受信する手段と、
    前記送信者装置から受信した前記送信者の識別子と前記受信者の識別子とに関連付けて、前記送信者と前記受信者間の初期鍵を前記鍵情報データベースに格納する手段と、
    前記受信者装置から前記送信者の識別子と前記受信者の識別子を前記ネットワークインターフェイスにより通信網を介して受信する手段と、
    前記受信者装置から受信した前記送信者の識別子と前記受信者の識別子とに関連する、前記送信者と前記受信者間の初期鍵を前記鍵情報データベースから読み出す手段と、
    前記読み出された初期鍵を前記受信者装置に前記ネットワークインターフェイスにより通信網を介して送信する手段と、
    を有する鍵サーバ。
  11. 前記送信者装置から受信した前記送信者の識別子と前記受信者の識別子より前記送信者と前記受信者間の初期鍵を生成する手段と、
    前記生成された初期鍵を前記送信者装置に前記ネットワークインターフェイスにより通信網を介して送信する手段と
    をさらに有する、請求項10に記載の鍵サーバ。
  12. 前記送信者装置から受信した前記送信者の識別子と前記受信者の識別子より前記送信者と前記受信者間の初期鍵を生成する手段は、鍵付一方向性関数である、請求項11に記載の鍵サーバ。
  13. 請求項8に記載の送信者装置と、請求項9に記載の受信者装置と、請求項10から12のいずれかに記載の鍵サーバと、これらを接続する通信網とを有する暗号化メッセージ送受信システム。
  14. 請求項8に記載の送信者装置または請求項9に記載の受信者装置としてコンピュータを機能させるためのプログラム。
  15. 請求項10から12のいずれかに記載の鍵サーバとしてコンピュータを機能させるためのプログラム。
JP2006122076A 2006-04-26 2006-04-26 暗号化メッセージ送受信方法、送信者装置、受信者装置、鍵サーバ、および暗号化メッセージ送受信システム Expired - Fee Related JP4781896B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006122076A JP4781896B2 (ja) 2006-04-26 2006-04-26 暗号化メッセージ送受信方法、送信者装置、受信者装置、鍵サーバ、および暗号化メッセージ送受信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006122076A JP4781896B2 (ja) 2006-04-26 2006-04-26 暗号化メッセージ送受信方法、送信者装置、受信者装置、鍵サーバ、および暗号化メッセージ送受信システム

Publications (2)

Publication Number Publication Date
JP2007295366A true JP2007295366A (ja) 2007-11-08
JP4781896B2 JP4781896B2 (ja) 2011-09-28

Family

ID=38765526

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006122076A Expired - Fee Related JP4781896B2 (ja) 2006-04-26 2006-04-26 暗号化メッセージ送受信方法、送信者装置、受信者装置、鍵サーバ、および暗号化メッセージ送受信システム

Country Status (1)

Country Link
JP (1) JP4781896B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009154020A1 (ja) * 2008-06-18 2009-12-23 日本電気株式会社 識別子に基づく鍵交換装置及び方法
JP2010148022A (ja) * 2008-12-22 2010-07-01 Fujitsu Fip Corp 暗号鍵管理システム
JP2012518331A (ja) * 2009-02-17 2012-08-09 アルカテル−ルーセント アイデンティティベースの認証鍵共有プロトコル
CN116261135A (zh) * 2023-05-15 2023-06-13 中维建技术有限公司 一种通信基站同态数据安全处理方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009154020A1 (ja) * 2008-06-18 2009-12-23 日本電気株式会社 識別子に基づく鍵交換装置及び方法
JP2010148022A (ja) * 2008-12-22 2010-07-01 Fujitsu Fip Corp 暗号鍵管理システム
JP2012518331A (ja) * 2009-02-17 2012-08-09 アルカテル−ルーセント アイデンティティベースの認証鍵共有プロトコル
US8510558B2 (en) 2009-02-17 2013-08-13 Alcatel Lucent Identity based authenticated key agreement protocol
US9106410B2 (en) 2009-02-17 2015-08-11 Alcatel Lucent Identity based authenticated key agreement protocol
CN116261135A (zh) * 2023-05-15 2023-06-13 中维建技术有限公司 一种通信基站同态数据安全处理方法
CN116261135B (zh) * 2023-05-15 2023-07-11 中维建技术有限公司 一种通信基站同态数据安全处理方法

Also Published As

Publication number Publication date
JP4781896B2 (ja) 2011-09-28

Similar Documents

Publication Publication Date Title
JP4897645B2 (ja) 暗号化メッセージ送受信方法、送信者装置、受信者装置、暗号化メッセージ送受信システム及びプログラム
Borisov et al. Off-the-record communication, or, why not to use PGP
US8489877B2 (en) System, method and computer product for sending encrypted messages to recipients where the sender does not possess the credentials of the recipient
US8769259B2 (en) Methods and apparatuses for secure information sharing in social networks using randomly-generated keys
US20140098960A1 (en) Ciphertext Processing Method, Apparatus, and System
KR20140024049A (ko) 안전한 그룹 메시징
JP5047638B2 (ja) 暗号文復号権委譲システム
Mantoro et al. Securing e-mail communication using hybrid cryptosystem on android-based mobile devices
JP4781896B2 (ja) 暗号化メッセージ送受信方法、送信者装置、受信者装置、鍵サーバ、および暗号化メッセージ送受信システム
JP4924943B2 (ja) 認証付鍵交換システム、認証付鍵交換方法およびプログラム
CN113918971A (zh) 基于区块链的消息传输方法、装置、设备及可读存储介质
JP2006229279A (ja) 機密データ送受信方法およびシステム
JP5643251B2 (ja) 秘密情報通知システム、秘密情報通知方法、プログラム
Wong et al. E–mail protocols with perfect forward secrecy
JP2017163326A (ja) 暗号化システム、暗号化方法、及び暗号化プログラム
TWI761243B (zh) 群組即時通訊的加密系統和加密方法
US11736462B1 (en) Hybrid content protection architecture for email
Pérez Working from Home and Data Protection
RU2693192C1 (ru) Компьютерно-реализуемый способ обеспечения защищённых групповых коммуникаций со свойствами отказуемости, совершенной прямой секретности и согласованности текста переписки
JP2018107625A (ja) データ配信システム、データ生成装置、仲介装置、データ配信方法、及びプログラム
JP2016225804A (ja) 情報処理装置、通信システム、情報処理方法およびプログラム
JPH1195660A (ja) 電子文書匿名通信方法、そのプログラム記録媒体及びその装置
Rehm et al. Mobile Encryption Gateway (MEG) for Email Encryption
CN116192427A (zh) 一种保密会话方法及装置
Rehm et al. MEG: The Email Mobile Encryption Gateway

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080731

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110629

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110706

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140715

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees